Este dissabte, 8 de setembre, el Butlletí Oficial de l'Estat, BOE, va publicar el Reial decret-llei 12/2018, de 7 de setembre , de seguretat de les xarxes i sistemes d'informació, després que fóra aprovat en el Consell de Ministres del divendres anterior. D'esta manera, s'incorpora a l'ordenament jurídic espanyol la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, més coneguda com a Directiva NIS, que busca identificar els sectors en els quals s'ha de garantir la protecció de les xarxes i sistemes d'informació i establir les exigències de notificació de ciberincidentes.
L'objecte del Reial decret és “regular la seguretat de les xarxes i sistemes d'informació utilitzats per a la provisió dels servicis essencials i dels servicis digitals, i establir un sistema de notificació d'incidents”, al mateix temps que “establix un marc institucional per a la coordinació entre autoritats competents i amb els òrgans de cooperació rellevants en l'àmbit comunitari”.
Tot açò, tal com s'arreplega en el pròleg, “conscients del caràcter transversal i interconnectat de les tecnologies de la informació i de la comunicació (TIC)”, i de les seues amenaces i riscos, la qual cosa limita l'eficàcia de les mesures que s'empren per a contrarestar-los quan es prenen de manera aïllada.
Per tant, prosseguix el text, “és oportú establir mecanismes que, amb una perspectiva integral, permeten millorar la protecció enfront de les amenaces que afecten a les xarxes i sistemes d'informació, facilitant la coordinació de les actuacions realitzades en esta matèria tant a nivell nacional com amb els països del nostre entorn, en particular, dins de la Unió Europea”.
Aprovat el Reial decret Llei que trasllada la Directiva europea de ciberseguretat
"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".
14 setembre 2018
El RDL 12/2018 assenyala al CCN-CERT com l'Equip de Resposta a Incidents de Seguretat de referència per al Sector públic i com el coordinador nacional de la resposta tècnica en els supòsits d'especial gravetat i que requerisquen un nivell de coordinació superior.
El CCN-CERT és coordinador nacional
L'article 11 d'este Reial decret arreplega tres CSIRT de referència, que es coordinaran entre si i amb la resta d'equips nacionals i internacionals en la resposta a incidents i gestió de riscos. Així, per al Sector públic el CSIRT de referència és el CCN-CERT , de el Centre Criptològic Nacional. A més, tal com assenyala el RD, el CCN-CERT exercirà la coordinació nacional de la resposta tècnica dels CSIRT.
Els altres dos CSIRT són l'INCIBE-CERT per a la comunitat que no pertanga al CCN-CERT, ciutadans i entitats de dret privat (operat conjuntament per l'INCIBE i el CNPIC en la gestió dels incidents que afecten als operadors crítics) i l'ESPDEF-CERT, del Comandament Conjunt de Ciberdefensa, que cooperarà amb els altres dos CSIRT en aquelles situacions que estos requerisquen en suport dels operadors de servicis essencials i, necessàriament, en aquells que tinguen incidència en la Defensa Nacional.
Autoritats competents
El document assenyala tres autoritats competents en matèria de seguretat (article 9):
- Per als operadors de servicis essencials:
En el cas que estos siguen, a més, designats com a operadors crítics conforme a la Llei 8/2011, de 28 d'abril: la Secretaria d'Estat de Seguretat, del Ministeri de l'Interior, a través del Centre Nacional de Protecció d'Infraestructures i Ciberseguretat (CNPIC).
En el cas que no siguen operadors crítics: l'autoritat sectorial corresponent per raó de la matèria, segons es determine reglamentàriament.
- Per als proveïdors de servicis digitals: la Secretaria d'Estat per a l'Avanç Digital, del Ministeri d'Economia i Empresa.
- Per als operadors de servicis essencials i proveïdors de servicis digitals que no sent operadors crítics es troben compresos en l'àmbit d'aplicació de la Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic: el Ministeri de Defensa, a través de el Centre Criptològic Nacional.
Obligació de notificar incidents
El Reial decret contempla l'obligació dels operadors de servicis essencials i els proveïdors de servicis digitals (article 19) de notificar a l'autoritat competent, a través del CSIRT de referència, els incidents que puguen tindre efectes perturbadores significatius en aquests servicis i inclou aquelles notificacions de successos o incidències que encara no hagen tingut un efecte advers real (perillositat potencial).
El text també assenyala que les autoritats competents i els CSIRT de referència utilitzaran una plataforma comuna per a facilitar i automatitzar els processos de notificació, comunicació i informació sobre incidents a manera de les funcionalitats que ja presenta la solució LUCIA del CCN-CERT. A més, es detalla que els empleats i el personal que notifique sobre aquests incidents “no podrà patir conseqüències adverses en el seu lloc de treball o amb l'empresa, excepte en els supòsits en què s'acredite roïna fe en la seua actuació”.
Els operadors de servicis essencials i els proveïdors de servicis digitals tenen l'obligació de resoldre els incidents de seguretat que els afecten, i de sol·licitar ajuda especialitzada, inclosa la del CSIRT de referència, quan no puguen resoldre per si mateixos els incidents.
- Seguretat i Protecció de Dades